统信UOS全栈安全系列｜基于eBPF构建全新的应用层网络管控方案

外向笑小鸭子 2023-12-27 15:40:54  50126

分类专栏：资讯

6月初，统信UOS服务器版V20（1060）盛大推出，不仅带来了突破性的功能和性能提升，还带来了统信UOS系统安全软件（简称「统信有固」）的安全“配方”再升级，为服务器操作系统的稳定运行提供更加强大的安全保障。

最新消息：「统信有固」将于近期推出全新的应用层网络管控方案，旨在让客户使用统信UOS时享受更安全、更高效、更稳定的网络体验。

该方案通过结合先进且强大的网络技术，不仅能够实时监控网络应用，还能按需设置网络应用的带宽和流量，大大提升网络应用的可管理性。

统信UOS服务器版V20的安全加固和配置工具，「统信有固」在全栈系统安全防护体系中扮演着重要的角色，提供了系统安全加固、完整性度量、应用管控、可信保护、三权分立等功能，保障系统的安全稳定运行。

随着网络应用的飞速发展，Linux中关于应用层网络管控方面的需求也日益增加。

然而，传统的网络管控工具，如iptables、firewalld等，很难针对应用层进行网络管控。因此，创新性的应用层网络管控方案成为必然的发展趋势。

「统信有固」通过引入eBPF、KProbes、eBPF Maps、NFQUEUE技术，构建了一种全新的应用层网络管控方案，能够实时监测和管理应用层网络。

火爆技术：引人瞩目

eBPF

eBPF（Extended Berkeley Packet Filter）是Linux中最炙手可热的技术之一，用于在Linux内核中执行安全、可编程的字节码，可应用于网络管控、系统跟踪、安全监控、性能分析等领域，具有高灵活性、可扩展性和强安全性。

高灵活性：开发人员可按需编写自定义的eBPF程序，从而实现各种功能。

可扩展性：支持动态加载和卸载不同的eBPF程序，而无需重新编译内核。

强安全性：在内核中执行eBPF的字节码之前，会对eBPF的字节码进行严格的验证和限制，既能实现eBPF的灵活编程能力，也能保障系统的稳定性和安全性。

KProbes

Kprobes是Linux内核中的一种动态跟踪机制。

允许在内核函数的入口和出口插入探针，以便观察函数的调用和返回情况。

允许在内核的关键代码路径上插入探针，以便捕获和分析各种内核事件的信息，如函数调用次数、参数值、返回值等。

可驱动eBPF程序，实现内核级别的事件跟踪和分析。

eBPF Maps

eBPF Maps是一种键值对数据结构，由键（key）和值（value）组成。

支持自定义键和值的类型，并在eBPF程序中进行读取、写入和更新操作。

支持在用户空间和内核空间之间安全地传输数据。

NFQUEUE

NFQUEUE通过使用Netfilter框架中的hook机制，将选定的网络数据包从内核空间传递到用户空间进行处理。

统信有固：与时俱进

六个关键步骤

1、使用iptables配置NFQUEUE规则，将系统中的网络数据包转发到NFQUEUE队列。

2、通过eBPF程序在内核网络协议栈相关函数的入口和出口插入Kprobes探针。

3、当有网络流量产生时，系统会截获其中的每个网络数据包并将其送入eBPF程序。eBPF程序获取进程ID（PID）后，会将PID与网络数据包进行绑定，最后通过eBPF Maps将绑定好PID的网络数据包送入用户空间。

4、在用户空间中，通过PID可以获取进程的相关信息，例如启动时间、文件路径、进程状态等，然后收集并保存这些信息后供后续使用。

5、通过IP地址、端口号、协议类型等信息，用户态程序将NFQUEUE队列中的网络数据包与eBPF模块捕获的网络数据包进行关联，从而获取NFQUEUE队列中每个网络数据包对应的进程信息。

6、将NFQUEUE队列中的网络数据包送入规则引擎，通过对比已配置好的流量规则，可以判断是否接受或丢弃这些网络数据包。

三大突出优点

传统的Linux网络管控方案，如iptables、firewalld等，都只能工作在网络层和传输层，而「统信有固」的网络管控方案可以

「统信有固」的网络管控方案采用内核剥离技术，其独特之处在于无需修改内核源码，这一创新不仅大幅提升了系统的安全性，还为适配不同的Linux系统带来了更大的便利性。

同时，「统信有固」的规则配置、网络管控方式更加灵活，可以针对单个应用进行规则配置，也可以实现定制化的管控方式。

统信软件一直坚持提供极致的安全防护，不仅拥有最严苛的流程管理、最极致的设计理念，更重要的是拥有最硬核的安全技术。本次推出的「统信有固」新方案，是对统信UOS服务器版全栈系统安全防护体系的进一步完善和升级。

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

赞同 0

评论 0 条